Datenschutzerklärung für die Verarbeitung personenbezogener Daten bei Videokonferenzen - Stiftung Preußischer Kulturbesitz

Die Stiftung Preußische Kulturbesitz (SPK) nutzt die Webex Konferenz- und Kollaborationslösungen der Firma Cisco Systems (kurz: Webex-Dienste) für die Durchführung von Web- und Videokonferenzen. Nachfolgend möchten wir Sie über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung dieser Dienste informieren.

Stiftung Preußischer Kulturbesitz (SPK)
Von-der-Heydt-Straße 16-18
10785 Berlin
Deutschland
Tel.: +49 (0)30 266 412889
E-Mail: datenschutz@hv.spk-berlin.de
Webseite: www.preussischer-kulturbesitz.de

Datenschutzbeauftragte
Stiftung Preußischer Kulturbesitz
Von-der-Heydt-Straße 16-18
10785 Berlin
Deutschland
Tel.: +49 (0)30 266 412889
E-Mail: Datenschutzbeauftragte@hv.spk-berlin.de

Die SPK verwendet die Webex-Dienste von Cisco, um zum Beispiel interne Arbeitsbesprechungen, Vertragsverhandlungen, Vorstellungsgespräche und Informationsveranstaltungen im Online-Format zur Erfüllung ihrer Aufgaben nach dem Gesetz zur Errichtung einer Stiftung "Preußischer Kulturbesitz" und zur Übertragung von Vermögenswerten des ehemaligen Landes Preußen auf die Stiftung (PrKultbG) u.a. zum Zwecke der Kulturförderung, der Wissenschaft und der Selbstverwaltung zu ermöglichen.

Videokonferenzen und andere Formen der Online-Kollaboration sind eine wichtige Voraussetzung, um zeitgemäßes Zusammenarbeiten innerhalb der Einrichtungen der SPK zu ermöglichen. Zusammenkünfte wie Gremiensitzungen und dienstliche Besprechungen sind im ordnungsgemäßen Betrieb der SPK zur Erfüllung ihrer Aufgaben unerlässlich.

Wir verarbeiten Ihre personenbezogenen Daten auf der Grundlage von

• Art. 6 Abs. 1 lit. b DSGVO, Art. 26 BDSG im Rahmen von Beschäftigtenverhältnissen bei internen und externen Mitarbeiter:innen der SPK oder im Bewerbungsverfahren
• Art. 6 Abs. 1 lit. b DSGVO bei der Durchführung oder Anbahnung von Dienst- oder Werkverträgen oder bei anderweitigen Beauftragungen
• Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit § 3 Abs.1 StiftG bei der Durchführung von öffentlichen Vorträgen der verschiedenen Einrichtungen der SPK

Sollten ausnahmsweise Aufnahmen der Videokonferenz erstellt werden, erfolgt dies nur mit Ihrer ausdrücklichen Einwilligung. Die Rechtsgrundlage ist dann Art. 6 Abs. 1 lit. a DSGVO.

I. Teilnahme an Videokonferenzen ohne Webex-Account:
Verwenden Sie Webex-Dienste für Videokonferenzen ohne Nutzung eines Webex-Accounts, wird bei der Anmeldung ein Name und optional eine E-Mail-Adresse abgefragt. Ihre Eingaben sind bei einer Videokonferenz für andere Teilnehmende und die gastgebende Person sichtbar. Sie können aber auch unter einem Pseudonym teilnehmen und das Feld E-Mail-Adresse leer lassen. Im Falle der telefonischen Einwahl können andere Teilnehmende erkennen, dass Sie telefonisch teilnehmen und sehen evtl. Ihre Telefonnummer.

II. Teilnahme an Videokonferenzen oder Nutzung von Webex (vormals Teams) mit Webex-Account:
Nehmen Sie mit der Nutzung eines Webex-Accounts teil, ist der von Ihnen angegebene Name und die E-Mail-Adresse für andere Teilnehmende und die gastgebende Person sichtbar.

III. Sichtbarkeit in der Suchfunktion
Eine gastgebende Person kann nach persönlichen Räumen oder beim Ansetzen eines Meetings bzw. beim Anlegen einer Gruppe bei Webex (vormals Teams) nach Personen suchen. Nach Eingabe von zwei Zeichen wird eine Liste von bis zu 10 registrierten oder vormals eingeladenen Personen angezeigt, bei denen diese Zeichenkette entweder im Namen oder in der E-Mail-Adresse vorkommt. Ihr Name und Ihre E-Mail-Adresse kann auf diesem Weg für Personen mit Webex-Account sichtbar werden.

IV. Audio und Video
Bei einer Videokonferenz können Sie für die anderen Teilnehmenden sicht- und hörbar sein, wenn Ihr Mikrofon und Ihre Kamera aktiviert sind. Ob dies der Fall ist, erkennen Sie an den Symbolen bzw. der Beschriftung der entsprechenden Schaltflächen. Die Voreinstellungen für die jeweilige Videokonferenz können sich unterscheiden. Auch ob eine Aufzeichnung läuft, wird Ihnen optisch angezeigt.

V. Berichte
Bei jeder Videokonferenz werden automatisch Berichte erstellt, die Informationen zu den Teilnehmenden beinhalten (Name, E-Mail-Adresse, Beginn und Ende der Teilnahme sowie Teilnahmedauer; im Falle der Teilnahme über einen bestehenden Webex-Account die weiteren im Profil hinterlegten Daten; im Falle der telefonischen Teilnahme wird die Einwahlnummer angezeigt, die die teilnehmende Person gewählt hat). Diese Berichte sind nur für die gastgebende Person der jeweiligen Videokonferenz sichtbar.

VI. Weitere vom System verarbeitete Daten
Folgende weitere Daten werden von Cisco bei der Nutzung der Webex-Dienste verarbeitet. In Klammern sind die englischen Begriffe genannt, die Cisco in ihren „Privacy Data Sheets“ verwendet:

1. Webex Meetings (gilt auch für Webex Training, Support und Events)

a. Accountinformationen (Cisco: User Information): Name, E-Mail-Adresse, Browser, Eindeutige Nutzerkennung (UUID) optional: Telefonnummer, Postadresse, Profilbild

b. Gastgeber- und Nutzungsinformation (Cisco: Host and Usage Information):

• Name, E-Mail-Adresse aller Teilnehmenden
• IP Adresse, Benutzeragentenkennung, IP-Adressen entlang des Netzwerkpfads (damit sind die IP-Adressen der Komponenten gemeint, über die die Videokonferenz aufgebaut wird, insbesondere die Knoten, über die die Teilnehmenden verbunden sind), geographische Region, Client-Version, Serviceversion
• Hardwaretyp, Betriebssystemtyp und -version, Bildschirmauflösung, Beitrittsmethode
• Informationen zum Meeting (Hostname, Meeting-Kennnummer, Meeting Seiten-URL, Datum und Uhrzeit, Titel, Häufigkeit, Dauer des Meetings und Anwesenheitszeit pro Teilnehmenden, Anzahl, Qualität, Netzwerkaktivität und Netzwerkkonnektivität, Aktionen, Teilnahmemethode)
• Anzahl der Meetings, Zahl der Teilnehmenden, Anzahl der Screen-Sharing- und Non-Screen-Sharing-Meetings – bezogen auf die gastgebende Person;
• Informationen zu Leistung, Fehlerbehebung und Diagnose, ergriffene Maßnahmen
• Anrufinformation (E-Mail-Adresse, IP-Adresse, Username, Telefonnummer, Raumgerät)

c. Benutzergenerierte Informationen (Cisco: User-Generated Information)

• Besprechungsaufzeichnungen
• Hochgeladene Dateien (nur für Webex Events und Training)

2. Webex (vormals Teams)
a. Accountinformationen (Cisco: User Information), Anzeigename, E-Mailadresse, Name, eindeutige Nutzerkennung (UUID), Name der Firma, Organisations-ID, optional: Profilbild

b. Gastgeber- und Nutzungsinformation (Cisco: Host and Usage Information)

• Gerätename, Geolokation, IP Adresse, Benutzeragentenkennung,
• Betriebssystemtyp und -version, Clientversion, IP-Adressen entlang des Netzwerkpfads (damit sind die IP-Adressen der Komponenten gemeint, über die die Videokonferenz aufgebaut wird, insbesondere die Knoten, über die die Teilnehmenden verbunden sind), MAC-Adresse, Zeitzone, Domainname, Aktivitätsprotokolle

c. Benutzergenerierte Informationen (Cisco: User-Generated Information)

• Raumaktivität (Datum, Uhrzeit, Person und Aktivität), Nachrichten (Inhalt, Absender, Empfänger, Datum, Uhrzeit und gelesene Belege), geteilter Inhalt (Dateien, Dateinamen, Größen und Typen), Whiteboard-Inhalt
• Informationen zu Besprechungen und Anrufen (Titel, Einladungsinhalt, Teilnehmende, Link, Datum, Uhrzeit, Dauer und Qualitätsbewertungen), Anwesenheit (Benutzerstatus)
• Besprechungsaufzeichnungen

3. Technischer Support
Falls der Webex-Support der SPK zur Aufklärung und Beseitigung einer Störung den technischen Support von Cisco (Technical Assistance Center, TAC) hinzuziehen möchte und dazu weitere personenbezogene Daten an Cisco übermitteln muss, wird der technische Support der SPK Sie vorher individuell informieren und um Ihre Mitwirkung bitten.

Ausführungen zur Dauer der Speicherung und Löschung der Accountinformationen, der Benutzergenerierten Informationen und der Gastgeber- und Nutzungsinformationen für Webex Meetings (mit den Sonderformen) finden Sie im „Privacy Data Sheet" zu „Cisco Webex Meetings“ unter Ziffer 6 (https://trustportal.cisco.com/c/dam/r/ctp/docs/privacydatasheet/collaboration/cisco-webex-meetings-privacy-data-sheet.pdf).

Unter Ziffer 8 finden sich zudem Ausführungen über die Speicherdauer bei Subunternehmen.

Benutzergenerierte Informationen in Bereichen der Kollaborationsplattform Webex (vormals Teams) werden bis zu 3600 Tage gespeichert, wenn der Bereich durch eine Person mit einem Webex-Account der SPK erstellt wurde. Ausführungen zur Dauer der Speicherung und Löschung der Accountinformationen, der Benutzergenerierten Informationen und der Gastgeber- und Nutzungsinformationen für die Kollaborationsplattform Webex (vormals Teams) finden Sie im „Privacy Data Sheet“ zu „Cisco Webex app & Webex Messaging“ unter Ziffer 6 (https://trustportal.cisco.com/c/dam/r/ctp/docs/privacydatasheet/collaboration/cisco-webex-app-and-messaging-privacy-data-sheet.pdf).

Webex-Accountinformationen werden auf jeden Fall gelöscht, sobald der Account gelöscht wird, mit Ausnahme von Name und UUID. Diese löscht Cisco spätestens 7 Jahre nach Ende der Auftragsverarbeitung

Der Zweck der Webex-Dienste ist der Austausch von Informationen mit anderen Teilnehmenden. Dementsprechend können die jeweiligen Teilnehmenden die hierfür benötigten Daten (z.B. Name der Teilnehmenden und der gastgebenden Person, Meeting-URL) und die geteilten Inhalte empfangen.

• Bei Nutzung der Webex-Dienste werden – sofern aktiviert – Ton und Bild von Ihnen sowie der Chat mit Benutzernamen und ggf. Ihre geteilten Inhalte von den anderen Teilnehmenden der jeweiligen Videokonferenz bzw. Kollaboration empfangen.
• Die gastgebende Person einer Videokonferenz kann sich nach dessen Abschluss Berichte generieren, die Informationen zu den Teilnehmenden beinhalten (Name, E-Mail-Adresse, Beginn und Ende der Teilnahme sowie Teilnahmedauer; im Falle der Teilnahme über einen bestehenden Webex-Account die weiteren im Profil hinterlegten Daten; Beitritt von extern/intern).
• Für Konfigurations-, Support- und Analysezwecke haben die Webex-Admins der SPK Zugriff auf Accountinformationen und Gastgeber- und Nutzungsinformationen, nicht aber auf benutzergenerierte Informationen. Eine Person des SPK-Webex-Supports kann die Rechte erhalten, auf benutzergenerierte Informationen zuzugreifen ("Compliance beauftragte Person"). Dies ist vorgesehen, wenn es Anhaltspunkte für eine Verletzung der Regelkonformität gibt oder ein Auskunftsersuchen nach Artikel 15 DSGVO bearbeitet wird.
• Cisco (siehe folgender Punkt) kann für Support- und Analysezwecke nach Aufforderung durch die SPK lesend auf Accountinformationen und Gastgeber- und Nutzungsinformationen zugreifen.
• Alle Daten werden von Cisco Systems, Inc. mit eingetragenem Firmensitz in 170 West Tasman Drive, San Jose, California 95134, USA als Auftragsverarbeiter verarbeitet. Der Auftragsverarbeiter setzt bei der Verarbeitung Subunternehmer ein.
• Diese finden Sie für Webex Meetings (mit den Sonderformen) im „Privacy Data Sheet" zu „Cisco Webex Meetings“ unter Ziffer 8 (https://trustportal.cisco.com/c/dam/r/ctp/docs/privacydatasheet/collaboration/cisco-webex-meetings-privacy-data-sheet.pdf). Die eingesetzten Subunternehmer für die Kollaborationsplattform Webex (vormals Teams) finden Sie im „Privacy Data Sheet“ zu „Cisco Webex app & Webex Messaging“ unter Ziffer 8 (https://trustportal.cisco.com/c/dam/r/ctp/docs/privacydatasheet/collaboration/cisco-webex-app-and-messaging-privacy-data-sheet.pdf).

Im Rahmen der Nutzung von Webex-Diensten werden personenbezogene Daten auch außerhalb der Europäischen Union / des Europäischen Wirtschaftsraumes verarbeitet.

Sie haben unter den Voraussetzungen der Art. 15-18, Art. 20 DSGVO ein Recht auf Auskunft, auf die Berichtigung oder Löschung ihrer personenbezogenen Daten und auf die Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit.

Ihr Anspruch auf Löschung hängt unter anderem davon ab, ob die sie betreffenden Daten zur Erfüllung gesetzlicher Aufgaben noch benötigt werden.

Sie haben zusätzlich das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Für die Stiftung Preußischer Kulturbesitz ist der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) zuständig.